Cadre légal : Règlement Général sur la Protection des Données (RGPD - UE 2016/679), Loi Informatique et Libertés modifiée n° 78-17 du 6 janvier 1978, recommandations CNIL en vigueur.

Préambule

La présente Politique de confidentialité a pour objectif d’informer les utilisateurs et visiteurs du Service Selvyon (ci-après collectivement les « Personnes concernées ») sur les modalités de collecte, de traitement et de protection des données personnelles qui les concernent.

Cette politique respecte les principes du RGPD : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de conservation ; intégrité et confidentialité ; responsabilité.

1. Responsable du traitement

Identité : Selvyon SASU (cf Mentions légales)

Adresse : [En cours d’immatriculation SASU : information disponible à partir de mai 2026]

Email contact RGPD : privacy@selvyon.com

Délégué à la Protection des Données (DPO) : non désigné en raison du volume actuel de traitement et de l’activité (TPE early stage, traitement de données ne relevant pas des cas obligatoires RGPD art. 37). Le contact RGPD passe par privacy@selvyon.com. Cette désignation pourra évoluer en fonction de la croissance de Selvyon et de l’évolution de ses traitements.

2. Données personnelles collectées

Selvyon collecte plusieurs catégories de données personnelles, selon le niveau d’utilisation du Service.

2.1 Données d’identification et de contact

Collectées lors de la création du compte et de l’utilisation du Service :

Nom et prénom
Adresse email professionnelle
Mot de passe (haché avec algorithme cryptographique non réversible — bcrypt ou équivalent)
Numéro de téléphone (optionnel)
Adresse postale (optionnelle)

2.2 Données professionnelles

Collectées lors de la complétion du profil professionnel :

Forme juridique (EI, EURL, SASU, etc.)
Numéro SIRET / SIREN (obligatoire — vérifié via API SIRENE INSEE)
Numéro RCS (si applicable)
Régime fiscal (micro-BNC, EI réel, etc.)
Régime de TVA (franchise en base, réel simplifié, réel normal)
Secteur d’activité / métier (développeur, designer, consultant, etc.)
Chiffre d’affaires estimé (utilisé pour le pré-remplissage Boussole Fiscale)
Adresse professionnelle

2.3 Données métier saisies dans le Service

Collectées lors de l’utilisation des fonctionnalités du Service :

Clients : nom, raison sociale, SIRET, email, téléphone, adresse, notes
Devis et factures : montants, dates, statuts, lignes de prestation, numéros art. 242 nonies A
Projets : nom, description, statut, budget, dates
Transactions bancaires : libellés, montants, dates, catégorisations (issues du connecteur DSP2 via GoCardless Bank Account Data, lecture seule, mandat utilisateur)
Documents : factures fournisseurs, justificatifs de dépenses (PDF, images)

2.4 Données de paiement

Collectées par notre prestataire Stripe Payments Europe Limited lors de la souscription d’un abonnement :

Informations de carte bancaire (numéro tronqué, date d’expiration, type) — stockées exclusivement par Stripe, jamais par l’Éditeur.
Token de paiement émis par Stripe pour les prélèvements récurrents.

L’Éditeur n’a jamais accès aux numéros complets de carte bancaire.

2.5 Données techniques

Collectées automatiquement lors de l’utilisation du Service :

Adresse IP (anonymisée pour les statistiques)
Type et version du navigateur
Système d’exploitation
Dates et heures de connexion
Pages visitées et actions effectuées dans le Service
Logs d’erreurs applicatives (via Sentry)
Identifiants techniques internes

2.6 Données de cookies et traceurs

Cf Politique cookies pour le détail. Gestion du consentement assurée par la solution Axeptio.

2.7 Données envoyées au LLM externe (Plans Pilotage et Maîtrise)

Pour les fonctionnalités d’IA (signaux, briefs hebdomadaires, assistant IA), des données pseudonymisées sont transmises à Anthropic (modèle Claude Sonnet) :

Données métier agrégées (CA mensuel, nombre de clients, statut de factures)
Indicateurs de cockpit (signaux à reformuler en langage naturel)
Questions explicites de l’Utilisateur (assistant IA chat — Plan Maîtrise uniquement)

Données NON transmises au LLM :

Identifiants directs (nom, email, SIRET) sauf si explicitement référencés dans une question utilisateur
Données fiscales sensibles brutes (RFR, TMI exact)
Mots de passe ou tokens

Cf article 10 pour les garanties contractuelles obtenues d’Anthropic (CCT, DPF, absence d’entraînement selon engagements contractuels en vigueur).

3. Finalités et bases légales du traitement

Les traitements de données réalisés par l’Éditeur reposent sur les bases légales suivantes (RGPD article 6) :

3.1 Exécution d’un contrat (article 6.1.b)

Création et gestion du compte utilisateur
Fourniture des fonctionnalités du Service
Génération de factures (article 242 nonies A CGI)
Gestion des abonnements payants
Support technique et commercial
Notifications produit et opérationnelles

3.2 Obligation légale (article 6.1.c)

Conservation des pièces comptables 10 ans (Code de commerce art. L123-22)
Réponse aux réquisitions judiciaires et administratives
Lutte contre la fraude et le blanchiment

3.3 Intérêt légitime (article 6.1.f)

Sécurité du Service (détection d’intrusions, anti-fraude)
Amélioration du Service (statistiques d’usage anonymisées)
Communication marketing limitée aux clients existants (newsletter produit, dans le respect de l’opt-out RGPD)
Support et résolution de litiges

3.4 Consentement (article 6.1.a)

Cookies non strictement nécessaires (analytics, marketing — cf Politique cookies)
Communications marketing à des prospects (non clients)
Activation du connecteur bancaire DSP2 GoCardless (mandat explicite de l’Utilisateur via flow d’autorisation bancaire)

L’Utilisateur peut retirer son consentement à tout moment.

4. Durées de conservation

Les durées de conservation appliquées sont les suivantes :

Catégorie de données	Durée de conservation	Base
Données du compte (utilisateur actif)	Durée de l’abonnement	Exécution contrat
Données du compte (résilié)	30 jours en accès lecture pour réversibilité, puis suppression	Réversibilité RGPD
Pièces comptables (factures émises)	10 ans à compter de leur émission	Code de commerce art. L123-22
Données fiscales (déclarations TVA, FEC)	6 ans à compter de l’année concernée	Livre des procédures fiscales art. L102 B
Données de paiement (Stripe)	Selon politique Stripe (généralement 7 ans)	Stripe
Logs techniques (sécurité, anti-fraude)	12 mois	Décret 2011-219, intérêt légitime
Logs applicatifs (erreurs, monitoring Sentry)	90 jours	Intérêt légitime
Cookies session	Durée de la session, max 13 mois	Recommandation CNIL
Cookies analytics (PostHog)	13 mois	Recommandation CNIL
Newsletters et communications marketing	3 ans après dernière interaction	Intérêt légitime
Demandes RGPD (accès, effacement, etc.)	5 ans	Intérêt légitime (preuve de traitement)
Logs d’inférence LLM Anthropic	Non conservés au-delà du temps de traitement par Anthropic (selon API Enterprise — pas de logs persistants côté Anthropic au-delà des nécessités de support)	Conformité RGPD + accord contractuel Anthropic

À l’issue de ces durées, les données sont supprimées définitivement ou anonymisées de manière irréversible (impossible de remonter à la personne).

5. Destinataires des données

Les données personnelles sont accessibles uniquement aux personnes et entités suivantes :

5.1 Personnel interne

Mehdi Handous (Président SASU, Responsable du traitement)
Toute personne salariée ou prestataire dûment habilitée par l’Éditeur, dans le cadre strict de leurs fonctions.

5.2 Sous-traitants techniques

L’Éditeur fait appel à plusieurs sous-traitants pour la fourniture du Service. La liste exhaustive et actualisée est disponible publiquement sur selvyon.com/sous-traitants ainsi que dans le Data Processing Agreement (DPA) §3.4.

Liste actuelle des sous-traitants principaux (à jour au 28/04/2026) :

Sous-traitant	Type	Localisation	Finalité
Scaleway SAS	Hébergeur principal	France (PAR)	Hébergement applicatif, BDD PostgreSQL, Object Storage, CDN
Stripe Payments Europe Limited	PSP (paiements)	Irlande (UE) + USA (avec CCT)	Traitement abonnements, prélèvements CB / SEPA
Resend	Email transactionnel	UE (Allemagne) ou USA selon plan	Emails techniques, notifications, séquence onboarding
Sentry	Monitoring d’erreurs	UE ou USA selon plan	Détection erreurs applicatives, traces d’incidents
PostHog	Analytics produit	UE ou USA selon plan	Analyse parcours utilisateur (neutralisé en environnement DEV)
GoCardless Bank Account Data	Agrégateur DSP2 (AISP, lecture seule)	UE (Lituanie) + EEE	Agrégation transactions bancaires utilisateurs (lecture seule, mandat user)
Anthropic	LLM externe (IA)	USA (avec CCT + DPF)	Génération signaux IA, briefs, assistant IA Maîtrise
API SIRENE INSEE	Vérification SIRET	France	Auto-complétion / vérification SIRET (service public)

Tous les sous-traitants (à l’exception de l’API SIRENE INSEE qui est un service public administratif) sont liés à l’Éditeur par un contrat de sous-traitance conforme à l’article 28 du RGPD, intégrant les Clauses Contractuelles Types (CCT) de la Commission européenne pour les transferts vers des pays hors UE.

5.3 Tiers autorisés

Autorités judiciaires ou administratives sur réquisition légale
Tiers acheteurs en cas de cession du fonds de commerce de l’Éditeur (avec information préalable des Personnes concernées)

L’Éditeur ne vend ni ne loue jamais les données personnelles à des tiers à des fins de prospection commerciale.

6. Transferts hors UE

Certains sous-traitants peuvent être basés ou opérer des serveurs hors de l’Union Européenne. Notamment :

Stripe : siège en Irlande (UE) avec stockage et traitement parfois aux USA. Stripe est certifié Data Privacy Framework (DPF) et applique les Clauses Contractuelles Types (CCT) de la Commission européenne.
Anthropic : société américaine (USA). Encadrée par CCT + Data Privacy Framework. Garantit contractuellement l’absence d’entraînement de ses modèles sur les données envoyées via API Enterprise.
Sentry : selon plan, hébergement UE ou USA. CCT en place.
PostHog : selon plan, hébergement UE ou USA. CCT en place.
Resend : selon plan, hébergement UE ou USA. CCT en place.

Tous les autres sous-traitants (Scaleway, GoCardless Bank Account Data, INSEE) sont localisés en UE.

L’Éditeur s’assure que tout transfert hors UE est encadré par :

Une décision d’adéquation de la Commission européenne (le cas échéant), ou
Les Clauses Contractuelles Types (CCT) de la Commission européenne, ou
Des garanties appropriées au sens de l’article 46 du RGPD.

7. Sécurité des données

L’Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

7.1 Mesures techniques

Chiffrement des communications (HTTPS/TLS sur toutes les pages du Service et de l’API)
Chiffrement des mots de passe (hashage cryptographique non réversible)
Hébergement chez Scaleway certifié ISO 27001 + HDS
Sauvegardes régulières et chiffrées
Authentification renforcée (mot de passe robuste obligatoire, 2FA disponible)
Surveillance continue (monitoring d’erreurs Sentry, détection d’intrusions)
Isolation des environnements (production séparée des environnements de développement)
Mises à jour régulières des dépendances logicielles

7.2 Mesures organisationnelles

Sensibilisation aux bonnes pratiques RGPD
Habilitations strictes (principe du moindre privilège)
Politique de mots de passe interne
Procédure de gestion des violations de données (notification CNIL sous 72h si applicable, RGPD art. 33)
Audit régulier des accès et logs
Assurance Responsabilité Civile Professionnelle Stoïk avec couverture cyber-risques (data breach)

7.3 En cas de violation de données

En cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des Personnes concernées, l’Éditeur :

Notifie la CNIL dans un délai de 72 heures (RGPD art. 33).
Informe les Personnes concernées si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (RGPD art. 34), par email et/ou bannière dans le Service.

8. Droits des Personnes concernées

Conformément au RGPD, les Personnes concernées disposent des droits suivants :

8.1 Droit d’accès (RGPD art. 15)

Obtenir la confirmation que des données les concernant sont traitées et accéder à ces données.

8.2 Droit de rectification (RGPD art. 16)

Demander la correction de données inexactes ou incomplètes.

8.3 Droit à l’effacement / droit à l’oubli (RGPD art. 17)

Demander la suppression des données dans les cas prévus par le RGPD (notamment lorsque les données ne sont plus nécessaires aux finalités initiales).

Limitation : ce droit ne s’applique pas aux données dont la conservation est imposée par une obligation légale (notamment les pièces comptables — 10 ans selon Code de commerce art. L123-22). Dans ce cas, les données sont conservées en archivage passif (pas d’usage actif) jusqu’à expiration du délai légal, puis supprimées.

8.4 Droit à la limitation du traitement (RGPD art. 18)

Demander la restriction du traitement dans certaines circonstances (par exemple en cas de contestation de l’exactitude des données).

8.5 Droit à la portabilité (RGPD art. 20)

Recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement. Selvyon propose une fonctionnalité d’export complet du compte (JSON, CSV, PDF) accessible depuis l’espace personnel.

8.6 Droit d’opposition (RGPD art. 21)

S’opposer au traitement des données pour des raisons tenant à la situation particulière de la Personne concernée, notamment en cas de prospection commerciale (opposition absolue).

8.7 Droit de retrait du consentement

Retirer son consentement à tout moment lorsque le traitement est fondé sur le consentement (sans effet rétroactif sur la licéité du traitement antérieur).

8.8 Droit de définir des directives post-mortem (Loi Informatique et Libertés)

Définir le sort des données personnelles après le décès, soit auprès d’un tiers de confiance certifié par la CNIL, soit auprès de l’Éditeur.

8.9 Modalités d’exercice des droits

Pour exercer l’un de ces droits, la Personne concernée peut :

Utiliser les fonctionnalités intégrées dans son espace personnel (export, suppression, modification de profil).
Envoyer un email à privacy@selvyon.com.
Envoyer un courrier postal à l’adresse de l’Éditeur (cf Mentions légales).

L’Éditeur s’engage à répondre dans un délai maximum d’un mois à compter de la réception de la demande (extensible à 3 mois pour les demandes complexes, avec information dans le délai initial).

L’Éditeur peut demander un justificatif d’identité en cas de doute raisonnable sur l’identité du demandeur, conformément au RGPD art. 12.6.

8.10 Droit de réclamation auprès de la CNIL

Si la Personne concernée estime que ses droits ne sont pas respectés, elle peut adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL) :

Adresse : 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Site web : www.cnil.fr
Téléphone : 01 53 73 22 22

9. Cas particulier : sous-traitance B2B

Lorsqu’un Utilisateur (en tant que professionnel) saisit dans Selvyon des données personnelles concernant ses propres clients ou prospects (par exemple : nom, email, SIRET d’un client), l’Utilisateur est responsable de traitement au sens du RGPD pour ces données, et l’Éditeur agit en tant que sous-traitant.

Les obligations de l’Éditeur en tant que sous-traitant sont précisées dans le Data Processing Agreement (DPA), document contractuel intégré aux CGV par référence.

L’Utilisateur s’engage à :

Disposer d’une base légale valide pour traiter les données de ses clients (exécution d’un contrat, intérêt légitime, consentement, etc.).
Informer ses propres clients de ce traitement conformément au RGPD art. 13/14.
Respecter les droits de ses propres clients concernés (accès, rectification, effacement, etc.).

10. Cas particulier : Boussole Fiscale et signaux IA externe

10.1 Boussole Fiscale (calculs locaux)

La fonctionnalité Boussole Fiscale (Plans Pilotage et Maîtrise) effectue des simulations comparatives de régimes fiscaux. Tous les calculs sont effectués localement sur les serveurs Selvyon hébergés en France (Scaleway PAR), sans envoi à un LLM externe.

Les paramètres utilisés (matrice fiscale 2026.1) sont stockés en interne et validés expert-comptable.

L’Utilisateur reconnaît que :

Les résultats sont à valeur indicative, n’engagent pas la responsabilité de l’Éditeur.
Ils ne se substituent pas à un conseil professionnel agréé (cf article 3.3 des CGU).
Les paramètres parts_fiscales et rfr_n_2 saisis pendant une simulation sont non persistés sur le profil User V1.1 (re-saisis à chaque simulation, persistance reportée V1.2 — cf Spec 09).

10.2 Signaux IA et assistant IA (LLM externe Anthropic)

Pour les fonctionnalités d’IA (signaux contextuels, briefs hebdomadaires, assistant IA chat — Plans Pilotage et Maîtrise), l’Éditeur utilise le modèle de langage Claude Sonnet d’Anthropic PBC (USA).

Garanties contractuelles obtenues d’Anthropic (selon les engagements contractuels fournis par Anthropic dans le cadre de l’API Enterprise, susceptibles d’évolution) :

Absence d’entraînement des modèles d’Anthropic sur les données envoyées via l’API Enterprise, selon les engagements contractuels en vigueur (clause contractuelle explicite consultable sur demande).
Conservation limitée : selon les engagements d’Anthropic, les données envoyées ne sont pas conservées au-delà du temps strictement nécessaire au traitement de la requête (logs API non persistants au-delà des nécessités de support technique).
Chiffrement : transit TLS + chiffrement au repos chez Anthropic.
CCT et Data Privacy Framework : Anthropic est certifié DPF et applique les CCT de la Commission européenne pour les transferts UE → USA.

L’Éditeur surveille périodiquement les engagements contractuels d’Anthropic et notifiera l’Utilisateur en cas d’évolution substantielle, conformément à l’article 3.4 du DPA (procédure de notification 30 jours préavis pour les sous-traitants ultérieurs).

Données envoyées au LLM :

Données métier agrégées (CA mensuel, nombre de clients, statut factures)
Indicateurs de cockpit (signaux à reformuler en langage naturel)
Questions explicites de l’Utilisateur (assistant IA chat — Plan Maîtrise)

Données NON envoyées au LLM :

Identifiants directs (nom, email, SIRET) sauf si explicitement référencés dans une question utilisateur
Données fiscales sensibles brutes (RFR, TMI exact)
Mots de passe ou tokens

Différenciation par Plan :

Plan	LLM externe	Volume estimé
Starter	❌ Non utilisé	0 inférence/mois
Pilotage	✓ Limité	~100-150 inférences/mois
Maîtrise	✓ Illimité usage normal	~300-500 inférences/mois

L’Utilisateur peut, à tout moment, demander la désactivation des fonctionnalités IA externe depuis son espace personnel (Compte > Préférences > Désactiver l’IA). Dans ce cas, le Service continue à fonctionner avec les calculs déterministes locaux uniquement.

11. Modification de la politique

L’Éditeur peut modifier la présente politique de confidentialité pour refléter les évolutions du Service ou de la réglementation applicable.

Les modifications substantielles sont notifiées aux Personnes concernées par email (pour les Utilisateurs avec compte actif) et par bannière dans le Service. La date de dernière mise à jour est toujours indiquée en tête du document.

L’historique des versions est conservé par l’Éditeur à des fins de preuve.

12. Contact

Pour toute question relative à la présente politique de confidentialité ou au traitement des données personnelles :

Email RGPD : privacy@selvyon.com
Adresse postale : [En cours d’immatriculation SASU : information disponible à partir de mai 2026]

Changelog

v1.0 — 28 avril 2026 — Validation finale avocat acquise (cf NOTE-VALIDATION-FINALE-AVOCAT.md). Statut : « Validé ». Prêt pour publication sur selvyon.com/confidentialite (footer permanent) et notification email aux utilisateurs en cas de modification substantielle (RGPD art. 14).

v0.3 — 28 avril 2026 — Intégration recommandation #4 note de validation avocat v0.2 : nuance wording §10.2 « Garanties contractuelles obtenues d’Anthropic » (formulation conditionnelle « selon les engagements contractuels fournis par Anthropic, susceptibles d’évolution » au lieu d’affirmation absolue). Ajout obligation de surveillance périodique des engagements Anthropic et notification 30 jours préavis en cas d’évolution substantielle (cohérent DPA §3.4). Ajustement wording §2.7 par cohérence.

v0.2 — 28 avril 2026 — Liste exhaustive 8 sous-traitants concrets (Scaleway / Stripe / Resend / Sentry / PostHog / GoCardless BAD / Anthropic / INSEE). Mention explicite Anthropic LLM externe avec garanties (CCT, no training, DPF). Différenciation IA par tier. Réversibilité 30 jours uniforme. Référence page publique selvyon.com/sous-traitants. Référence Axeptio CMP. Boussole Fiscale = calculs locaux pas LLM. Saisie live parts/RFR non persistée V1.1.

v0.1 — 28 avril 2026 — Création initiale.