Politique de confidentialité

Dernière mise à jour : avril 2026

1. Responsable du traitement

Mohand Salah — Entrepreneur individuel
Nom commercial : VoFact
SIREN : 929 471 290
Siège social : 50 Avenue des Champs Élysées, 75008 Paris (transfert d'établissement en cours — domiciliation Kandbaz)
Email : contact@vofact.fr

2. Données collectées

Conformément à l'article 13 du RGPD, voici le détail des traitements :

Donnée	Finalité	Base légale	Durée de conservation
Email, nom, prénom	Création de compte, authentification	Exécution du contrat (Art. 6.1.b)	Durée du compte + 3 ans
SIRET, adresse, téléphone	Génération de factures conformes	Exécution du contrat (Art. 6.1.b)	Durée du compte + 3 ans
Données clients (nom, adresse, SIRET)	Génération de factures pour le compte de l'utilisateur	Exécution du contrat (traitement en tant que sous-traitant pour le compte de l'utilisateur, Art. 28 RGPD)	Durée de l'abonnement + 30 jours
Messages chat et vocaux	Assistance IA à la facturation	Exécution du contrat (Art. 6.1.b)	1 an
Données de paiement	Gestion des abonnements	Exécution du contrat (Art. 6.1.b)	Gérées par Stripe (PCI-DSS)
Factures et devis générés	Service de facturation	Exécution du contrat (Art. 6.1.b)	Durée de l'abonnement + 30 jours (période de réversibilité)
Logs de connexion	Sécurité, détection de fraude	Intérêt légitime (Art. 6.1.f)	1 an
Adresse IP	Sécurité, logs techniques	Intérêt légitime (Art. 6.1.f)	1 an

3. Hébergement et sécurité

Les données sont hébergées sur Amazon Web Services, région eu-west-3 (Paris, France). Les communications sont chiffrées en transit (TLS) et au repos. L'accès aux données est protégé par authentification (Amazon Cognito).

4. Sous-traitants

Sous-traitant	Service	Localisation	Garanties
Amazon Web Services (AWS)	Hébergement, base de données, authentification (Cognito)	France (eu-west-3, Paris)	Clauses contractuelles types (SCCs), conformité RGPD
Amazon Bedrock (AWS)	Intelligence artificielle — interprétation des messages chat et vocaux pour la facturation conversationnelle	France (eu-west-3, Paris)	Données traitées dans la région eu-west-3, non stockées, non utilisées pour l'entraînement des modèles.
Brevo (ex-Sendinblue)	Envoi d'emails transactionnels (factures, notifications)	France / UE	Conformité RGPD, Data Processing Agreement, serveurs en UE
Stripe	Paiement en ligne, gestion des abonnements	UE (Irlande) + USA	Certifié PCI-DSS Level 1, SCCs pour transferts hors UE, Data Processing Agreement
Meta Platforms (WhatsApp Cloud API)	Messagerie WhatsApp (texte et vocal)	UE (Irlande) + USA	Clauses contractuelles types (SCCs), Data Processing Agreement, EU-US Data Privacy Framework
Amazon Transcribe (AWS)	Transcription des messages vocaux WhatsApp	France (eu-west-3, Paris)	Données traitées dans la région eu-west-3

5. Transferts de données hors UE

Certains sous-traitants (Stripe, Meta/WhatsApp) peuvent transférer des données vers les États-Unis. Ces transferts sont encadrés par :

Les Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne (Décision 2021/914)
Le EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023) pour les entreprises certifiées
Des mesures techniques complémentaires (chiffrement en transit et au repos)

Les données hébergées sur AWS (base de données, factures, profils) ainsi que les traitements d'intelligence artificielle (Amazon Bedrock) restent exclusivement dans la région eu-west-3 (Paris, France). VoFact utilise les modèles Amazon Nova avec le préfixe régional européen, garantissant que vos données ne quittent pas l'Union européenne. Les données ne sont ni stockées ni utilisées pour l'entraînement des modèles.

6. Durée de conservation

Données de compte : durée de l'abonnement + 3 ans
Factures et devis : durée de l'abonnement + 30 jours (période de réversibilité). L'obligation légale de conservation comptable de 10 ans (Art. L123-22 C.com) incombe à l'utilisateur, qui doit exporter ses documents avant la fin de cette période.
Données clients de l'utilisateur : durée de l'abonnement + 30 jours
Messages chat et vocaux : 1 an
Logs de connexion et adresses IP : 1 an
Données de prospection : 3 ans à compter du dernier contact

7. Vos droits (RGPD)

Vous disposez des droits suivants :

Droit d'accès à vos données personnelles
Droit de rectification des données inexactes
Droit à l'effacement (« droit à l'oubli »)
Droit à la portabilité de vos données
Droit d'opposition au traitement
Droit à la limitation du traitement
Droit de retirer votre consentement à tout moment

Pour exercer ces droits, contactez-nous à : contact@vofact.fr
Vous pouvez également exporter ou supprimer vos données depuis la section Paramètres de votre compte.

8. Cookies

VoFact n'utilise que des cookies strictement nécessaires au fonctionnement du service :

Cookie	Finalité	Durée
CognitoIdentityServiceProvider.*	Authentification utilisateur (Amazon Cognito)	Session / 30 jours
idToken / accessToken / refreshToken	Maintien de la session connectée	1h / 1h / 30 jours

VoFact utilise Google Analytics 4 en mode « consent denied » (sans dépôt de cookies). Ce mode collecte uniquement des données agrégées et anonymisées (nombre de visites, pages vues) sans identifier les utilisateurs individuellement. Aucun cookie Google Analytics n'est déposé sur votre appareil.

Aucun cookie publicitaire ou de tracking tiers n'est déposé. Aucun bandeau de consentement n'est donc nécessaire (exemption CNIL pour les cookies strictement nécessaires + mesure d'audience anonymisée).

9. Intelligence artificielle

VoFact utilise Amazon Bedrock (modèles Amazon Nova) pour interpréter vos messages en langage naturel et générer des factures et devis. Vos messages sont envoyés à Amazon Bedrock dans la région eu-west-3 (Paris). Amazon ne conserve pas vos données et ne les utilise pas pour entraîner ses modèles (opt-out par défaut dans Bedrock).

Les messages vocaux WhatsApp sont transcrits par Amazon Transcribe (eu-west-3) avant d'être traités par l'IA. Les fichiers audio sont supprimés après transcription.

10. Réclamation

En cas de réclamation, vous pouvez contacter la CNIL : www.cnil.fr