Transparence totale sur la manière dont nous collectons, protégeons et respectons vos données personnelles.
QuickFacturation / PrimeInvo est un logiciel de facturation B2B hébergé en Europe, conçu dès le départ (privacy by design) pour respecter les exigences du Règlement Général sur la Protection des Données (RGPD) — Règlement (UE) 2016/679 et du UK GDPR (Data Protection Act 2018 + UK GDPR 2021).
En tant que responsable de traitement, nous appliquons les principes de minimisation des données, de limitation des finalités et de sécurité par défaut. Cette page vous présente de manière transparente l'ensemble des mesures techniques et organisationnelles en place.
Nous collectons uniquement les données strictement nécessaires à la fourniture du service de facturation (principe de minimisation — RGPD art. 5.1.c). Voici le détail par catégorie :
| Catégorie | Données collectées | Base légale |
|---|---|---|
| Identité utilisateur | Prénom, nom, email professionnel, mot de passe (haché BCrypt — jamais en clair) | Contrat |
| Entreprise (tenant) | Nom commercial, raison sociale, adresse, SIRET/SIREN, n° TVA, statut juridique | Obligation légale |
| Coordonnées bancaires | IBAN, BIC (FR) / Sort Code, Account Number (UK) — chiffrés AES-256-GCM | Contrat |
| Clients de votre entreprise | Nom, email, téléphone, adresse, n° TVA, SIRET (vos propres clients) | Intérêt légitime |
| Factures & devis | Montants, articles, dates, signatures, statuts de paiement | Obligation légale |
| Données techniques | Adresse IP (audit RGPD uniquement), logs de sécurité (30 jours) | Intérêt légitime |
| Abonnement | Plan souscrit, identifiant Stripe (jamais de n° de carte) | Contrat |
Numéros de carte bancaire · CVV · Données biométriques · Données de santé · Origine raciale ou ethnique · Opinions politiques ou religieuses · Données de localisation en temps réel.
Conformément à l'article 32 du RGPD (sécurité du traitement), nous appliquons les mesures suivantes :
| Mesure | Implémentation | Standard |
|---|---|---|
| Mots de passe | BCrypt avec salt automatique — jamais stockés en clair | OWASP |
| Transport | HTTPS / TLS obligatoire en production — HTTP refusé au démarrage | TLS 1.3 |
| Tokens d'accès | JWT signés HMAC-SHA256, expiration 8h, refresh token 7 jours | RFC 7519 |
| Données bancaires | AES-256-GCM avec nonce aléatoire 12 bytes par chiffrement + tag d'authentification 16 bytes | NIST SP 800-38D |
| Cookies session | HttpOnly + Secure + SameSite=Lax — inaccessibles depuis JavaScript | OWASP |
| Isolation multi-tenant | TenantId validé dans JWT + filtres EF Core + couche service — 3 niveaux indépendants | Defense in depth |
| Paiements carte | Stripe Checkout hébergé — aucun numéro de carte ne transite par nos serveurs | PCI-DSS SAQ A |
| Secrets applicatifs | Clés API, clés de chiffrement et credentials injectés via variables d'environnement (jamais dans le code) | 12-Factor App |
| Limitation de débit | Rate limiting sur les endpoints d'authentification pour prévenir les attaques par force brute | OWASP API Top 10 |
Conformément au principe de limitation de la conservation (RGPD art. 5.1.e) et aux obligations légales comptables françaises et britanniques :
| Type de donnée | Durée | Base légale | Action à l'échéance |
|---|---|---|---|
| Factures émises | 6 ans | CGI art. 54 (France) · Companies Act 2006 (UK) | Anonymisation automatique des données personnelles (IBAN, observations) |
| Brouillons supprimés | 6 ans après suppression | RGPD art. 17.3.b | Suppression complète via job automatique (1er janvier, 02:00 UTC) |
| Compte utilisateur actif | Durée de l'abonnement + 30 jours | Contrat | Export des données disponible 30 jours après résiliation |
| Logs de sécurité | 30 jours | Intérêt légitime (sécurité) | Rotation automatique des fichiers de logs |
| Journal d'audit RGPD | 3 ans | RGPD art. 5.2 (accountability) | Archivage sécurisé |
| Tokens OAuth (HMRC MTD) | Durée du token (renouvelé automatiquement) | Obligation fiscale UK | Chiffrés AES-256-GCM, révocation à la déconnexion |
Chaque 1er janvier à 02:00 UTC, un job automatisé anonymise les données personnelles des factures et brouillons qui ont dépassé leur durée légale de conservation. Les montants et numéros de facture sont conservés pour la comptabilité, les données personnelles (coordonnées bancaires, observations, signatures) sont effacées.
En tant que personne concernée, vous disposez des droits suivants que vous pouvez exercer à tout moment :
| Droit | Description | Comment l'exercer | Délai |
|---|---|---|---|
| Art. 15 — Accès | Obtenir une copie de toutes vos données personnelles traitées | Email à privacy@primeinvo.com ou via votre espace client | 1 mois |
| Art. 16 — Rectification | Corriger des données inexactes ou incomplètes | Directement dans votre espace client (Paramètres → Profil) | Immédiat |
| Art. 17 — Effacement | Demander la suppression de vos données personnelles ("droit à l'oubli") | Email à privacy@primeinvo.com — traité sous 72h | 72 heures |
| Art. 18 — Limitation | Restreindre le traitement de vos données dans certains cas | Email à privacy@primeinvo.com | 1 mois |
| Art. 20 — Portabilité | Recevoir vos données dans un format structuré (JSON) pour les transférer | Disponible via l'API GET /gdpr/export/{customerId} ou sur demande email |
1 mois |
| Art. 21 — Opposition | S'opposer au traitement basé sur l'intérêt légitime | Email à privacy@primeinvo.com | 1 mois |
| Retrait du consentement | Retirer votre consentement à tout moment sans préjudice | Résiliation de compte ou email à privacy@primeinvo.com | Immédiat |
Le droit à l'effacement ne s'applique pas aux données dont la conservation est imposée par la loi (factures : 6 ans selon CGI art. 54, Companies Act 2006). Ces données sont anonymisées à l'échéance légale.
QuickFacturation n'utilise aucun cookie de traçage ou de publicité tierce. Seuls des cookies strictement nécessaires au fonctionnement du service sont déposés — aucun consentement préalable n'est requis pour ces cookies (ePrivacy directive, exemption fonctionnelle).
| Cookie | Finalité | Durée | Tiers ? |
|---|---|---|---|
.MyApp.Session |
Maintenir votre session de travail (HttpOnly, Secure) | 8 heures (idle) ou fermeture navigateur | Non — première partie |
.MyApp.Auth |
Authentication cookie (HttpOnly, Secure, SameSite=Lax) | 8 heures glissantes | Non — première partie |
| Stripe Checkout | Sécurité paiement (uniquement lors du processus de paiement) | Durée de la session de paiement | Stripe (DPA signé) |
Conformément à l'article 28 du RGPD, nous concluons des Accords de Traitement des Données (DPA) avec tout sous-traitant accédant à des données personnelles :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Stripe Inc. | Traitement des paiements par abonnement | USA + UE (Dublin) | DPA · Privacy Shield + SCCs · PCI-DSS L1 |
| Microsoft Azure | Hébergement infrastructure (serveurs, bases de données) | Europe (France Central / UK South) | DPA · Clauses contractuelles types · ISO 27001 |
| HMRC (UK) | Making Tax Digital — transmission déclarations TVA | Royaume-Uni | Obligation légale (UK Finance Act 2019) |
Toutes les données des utilisateurs français et britanniques sont hébergées sur des serveurs situés en Europe (France Central et UK South). Aucun transfert vers des pays tiers sans garanties adéquates (clauses contractuelles types ou décision d'adéquation).
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou du UK GDPR, vous avez le droit de déposer une réclamation auprès de l'autorité de contrôle compétente :
Notre équipe répond à toutes les demandes RGPD dans un délai maximum d'un mois (art. 12 RGPD). Pour les demandes urgentes (effacement, violation de données), délai de 72 heures.
Dernière mise à jour : Avril 2026 · Version 1.1
QuickFacturation / PrimeInvo is a B2B invoicing SaaS hosted in Europe, built from the ground up with privacy by design to comply with the EU General Data Protection Regulation (GDPR) — Regulation (EU) 2016/679 and the UK GDPR (Data Protection Act 2018 + UK GDPR 2021).
As data controller, we apply the principles of data minimisation, purpose limitation, and security by default. This page provides full transparency on all technical and organisational measures in place.
We collect only data strictly necessary for providing the invoicing service (data minimisation principle — GDPR art. 5.1.c):
| Category | Data Collected | Legal Basis |
|---|---|---|
| User identity | First name, last name, professional email, password (BCrypt hashed — never plain text) | Contract |
| Company (tenant) | Trading name, legal name, address, Companies House no., UTR, SIC code, VAT number | Legal obligation |
| Banking details | Sort Code, Account Number (UK) / IBAN, BIC (FR) — AES-256-GCM encrypted | Contract |
| Your customers | Name, email, phone, address, VAT number (your own customers' data) | Legitimate interest |
| Invoices & quotes | Amounts, line items, dates, signatures, payment statuses | Legal obligation |
| Technical data | IP address (GDPR audit only), security logs (30 days) | Legitimate interest |
| Subscription | Plan, Stripe customer ID (never card numbers) | Contract |
Card numbers · CVV · Biometric data · Health data · Racial or ethnic origin · Political or religious opinions · Real-time location data.
In compliance with GDPR Article 32 (security of processing), we implement the following measures:
| Measure | Implementation | Standard |
|---|---|---|
| Passwords | BCrypt with automatic salt — never stored in plain text | OWASP |
| Transport | HTTPS / TLS mandatory in production — HTTP rejected at startup | TLS 1.3 |
| Access tokens | JWT signed HMAC-SHA256, 8h expiry, 7-day refresh token | RFC 7519 |
| Banking data | AES-256-GCM with 12-byte random nonce per encryption + 16-byte authentication tag | NIST SP 800-38D |
| Session cookies | HttpOnly + Secure + SameSite=Lax — inaccessible from JavaScript | OWASP |
| Multi-tenant isolation | TenantId validated in JWT + EF Core filters + service layer — 3 independent levels | Defense in depth |
| Card payments | Hosted Stripe Checkout — no card data transits our servers | PCI-DSS SAQ A |
| Data type | Period | Legal basis | Action at expiry |
|---|---|---|---|
| Issued invoices | 6 years | Companies Act 2006 · CGI art. 54 | Automatic anonymisation of personal data (IBAN, notes) |
| Deleted drafts | 6 years after deletion | GDPR art. 17.3.b | Full deletion via automated job (1 Jan, 02:00 UTC) |
| Active user account | Subscription duration + 30 days | Contract | Data export available 30 days post-cancellation |
| Security logs | 30 days | Legitimate interest | Automatic log file rotation |
| GDPR audit log | 3 years | GDPR art. 5.2 (accountability) | Secure archiving |
| Right | Description | How to exercise | Deadline |
|---|---|---|---|
| Art. 15 — Access | Obtain a copy of all your personal data being processed | Email privacy@primeinvo.com or via your account dashboard | 1 month |
| Art. 16 — Rectification | Correct inaccurate or incomplete data | Directly in your account (Settings → Profile) | Immediate |
| Art. 17 — Erasure | Request deletion of your personal data ("right to be forgotten") | Email privacy@primeinvo.com — processed within 72h | 72 hours |
| Art. 18 — Restriction | Restrict processing of your data in certain cases | Email privacy@primeinvo.com | 1 month |
| Art. 20 — Portability | Receive your data in a structured format (JSON) for transfer | Via API GET /gdpr/export/{id} or by email request | 1 month |
| Art. 21 — Objection | Object to processing based on legitimate interest | Email privacy@primeinvo.com | 1 month |
QuickFacturation uses no tracking or advertising cookies. Only strictly necessary cookies for service operation are set — no prior consent required (ePrivacy Directive, functional exemption).
| Cookie | Purpose | Duration | Third party? |
|---|---|---|---|
.MyApp.Session | Maintain your working session (HttpOnly, Secure) | 8 hours (idle) or browser close | No — first party |
.MyApp.Auth | Authentication cookie (HttpOnly, Secure, SameSite=Lax) | 8 sliding hours | No — first party |
| Stripe Checkout | Payment security (only during checkout process) | Payment session duration | Stripe (DPA signed) |
If you believe that the processing of your personal data infringes GDPR or UK GDPR, you have the right to lodge a complaint with the competent supervisory authority:
Our team responds to all GDPR requests within a maximum of one month (Art. 12 GDPR). For urgent requests (erasure, data breach), response within 72 hours.
Last updated: April 2026 · Version 1.1