FonctionnalitésTarifsBlog
ConnexionEssayer

Politique de confidentialité

Dernière mise à jour : 16/05/2026

1. Préambule

La présente politique de confidentialité a pour objet d'informer les utilisateurs du site maqh-invoice.fr et du service MAQH-Invoice (ci-après le « Service ») des modalités de collecte et de traitement de leurs données personnelles, conformément au Règlement (UE) 2016/679 du 27 avril 2016 dit « RGPD » et à la loi française n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et libertés ».

2. Responsable de traitement

Le responsable du traitement des données personnelles est l'éditeur du Service, dont l'identité figure dans les Mentions légales.

L'éditeur n'a pas désigné de Délégué à la protection des données (DPO), n'y étant pas tenu au sens de l'article 37 du RGPD compte tenu de la nature et du volume des traitements opérés.

Pour toute question relative au traitement des données personnelles, ou pour exercer les droits décrits au paragraphe 8, l'utilisateur peut contacter l'éditeur à l'adresse : contact@maqh-invoice.fr.

3. Traitements opérés

L'éditeur opère deux traitements distincts de données personnelles dans le cadre du Service.

3.1 Traitement n° 1 — Gestion des comptes utilisateurs

Finalité : permettre à l'utilisateur de créer un compte, accéder au Service, générer et archiver ses factures, gérer son carnet de clients, et le cas échéant souscrire un abonnement.

Base légale : exécution du contrat conclu entre l'utilisateur et l'éditeur (article 6.1.b du RGPD).

Catégories de données collectées :

  • Données d'identification de l'utilisateur : nom, prénom, adresse email, mot de passe (stocké sous forme hachée par algorithme BCrypt, jamais en clair).
  • Données professionnelles de l'utilisateur : SIRET, adresse postale, téléphone, IBAN, raison sociale, forme juridique, capital social, taux de TVA, numéro de TVA intracommunautaire, logo (facultatif).
  • Données relatives à l'activité de l'utilisateur sur le Service : factures émises, brouillons, clients enregistrés, lignes de prestation.
  • Données de connexion : horodatage des connexions, adresse IP au moment de la connexion, identifiant technique de session.
  • Données de paiement : gérées exclusivement par le prestataire Stripe (cf. paragraphe 6). L'éditeur ne stocke aucune donnée de carte bancaire.
  • Données relatives aux clients de l'utilisateur, saisies par celui-ci : nom, raison sociale, adresse postale, adresse email, SIRET, conditions de paiement.

Données concernant les clients de l'utilisateur : l'éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour les données relatives aux clients de l'utilisateur, lesquelles sont saisies et placées sous la responsabilité de cet utilisateur en tant que responsable de traitement à leur égard.

3.2 Traitement n° 2 — Liste d'attente et communication pré-lancement

Finalité : informer les personnes ayant manifesté un intérêt pour le Service de son lancement et de ses évolutions, dans la phase précédant l'ouverture publique du Service.

Base légale : consentement de la personne concernée (article 6.1.a du RGPD), recueilli lors de la soumission de son adresse email sur le formulaire de liste d'attente.

Catégories de données collectées : adresse email.

Sous-traitant : les emails de la liste d'attente sont gérés via la plateforme Brevo (cf. paragraphe 6).

4. Durée de conservation

Les données sont conservées pour les durées suivantes :

  • Données du compte utilisateur : pendant toute la durée d'utilisation du Service, augmentée d'un délai de trois (3) ans à compter du dernier acte positif de l'utilisateur sur le Service (connexion, modification de profil, émission de facture), conformément aux recommandations de la CNIL en matière de prospection commerciale.
  • Factures et données associées : conservées dix (10) ans à compter de leur émission, conformément à l'article L123-22 du Code de commerce. Cette obligation de conservation s'impose à l'éditeur indépendamment de la résiliation du compte utilisateur.
  • Données de paiement : conservées par Stripe selon ses propres politiques, accessibles sur stripe.com/fr/privacy.
  • Données de connexion (logs techniques) : douze (12) mois à compter de leur enregistrement, conformément aux exigences de l'article L34-1 du Code des postes et des communications électroniques et des recommandations de la CNIL.
  • Liste d'attente : jusqu'au lancement public du Service, augmenté de la durée nécessaire à la finalité de prospection, et en tout état de cause jusqu'au retrait du consentement par la personne concernée.

5. Destinataires des données

Les données collectées sont destinées exclusivement à l'éditeur et à ses sous-traitants techniques, dans la limite de ce qui est nécessaire à l'exécution de leurs missions respectives. Aucune donnée n'est cédée, louée ou commercialisée à des tiers à des fins publicitaires.

Les données peuvent être communiquées aux autorités judiciaires ou administratives compétentes sur réquisition légalement formulée.

6. Sous-traitants

L'éditeur recourt aux sous-traitants suivants, sélectionnés pour leurs garanties en matière de sécurité et de protection des données :

  • Hostinger International Ltd. (Chypre, Union européenne) — hébergement du site et de la base de données du Service.
  • Cloudflare (États-Unis) — sauvegarde chiffrée hors site de la base de données via le service Cloudflare R2. Les transferts éventuels hors Union européenne sont encadrés par les clauses contractuelles types adoptées par la Commission européenne.
  • Stripe Payments Europe Ltd. (Irlande, Union européenne) — gestion des paiements et des abonnements. Stripe agit en qualité de responsable de traitement pour les données de paiement qu'il collecte.
  • Brevo (anciennement Sendinblue, France) — envoi des emails transactionnels (vérification d'adresse, mot de passe oublié, envoi de factures) et gestion de la liste d'attente pré-lancement.

L'éditeur s'engage à n'avoir recours qu'à des sous-traitants présentant des garanties suffisantes au regard du RGPD, et à conclure avec chacun d'eux les accords de sous-traitance appropriés.

7. Transferts hors Union européenne

Certains des sous-traitants visés au paragraphe 6 sont susceptibles de traiter des données hors de l'Union européenne, notamment Cloudflare (États-Unis). Ces transferts sont encadrés par les mécanismes prévus par le chapitre V du RGPD, notamment les clauses contractuelles types adoptées par la Commission européenne et, le cas échéant, l'adhésion du destinataire à un cadre de transfert reconnu adéquat.

8. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, l'utilisateur dispose des droits suivants sur ses données personnelles :

  • Droit d'accès — obtenir la confirmation que des données le concernant sont traitées, et en recevoir une copie.
  • Droit de rectification — obtenir la correction des données inexactes ou incomplètes.
  • Droit à l'effacement — obtenir la suppression de ses données, sous réserve des obligations légales de conservation pesant sur l'éditeur (notamment la conservation des factures pendant dix ans).
  • Droit à la limitation du traitement — demander que le traitement de ses données soit limité dans les hypothèses prévues à l'article 18 du RGPD.
  • Droit à la portabilité — recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
  • Droit d'opposition — s'opposer au traitement de ses données pour des motifs tenant à sa situation particulière.
  • Droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement (notamment pour la liste d'attente).
  • Droit de définir des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès (article 85 de la loi Informatique et libertés).

Ces droits peuvent être exercés en écrivant à contact@maqh-invoice.fr. L'éditeur s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, ce délai pouvant être prorogé de deux mois en cas de complexité ou de pluralité de demandes.

L'utilisateur dispose en outre du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), dont les coordonnées sont disponibles sur www.cnil.fr.

9. Sécurité

L'éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour préserver la confidentialité, l'intégrité et la disponibilité des données traitées, notamment :

  • chiffrement des communications par HTTPS (TLS) ;
  • stockage des mots de passe sous forme hachée par algorithme BCrypt ;
  • authentification par jeton JWT en cookie httpOnly avec attribut SameSite, limitant les risques d'attaques par script intersites (XSS) ou par requête forgée (CSRF) ;
  • isolation stricte des données entre utilisateurs : chaque requête est filtrée par identifiant utilisateur, empêchant tout accès aux données d'autrui ;
  • sauvegardes quotidiennes chiffrées de la base de données ;
  • limitations du nombre de tentatives sur les opérations sensibles (connexion, demande de réinitialisation de mot de passe).

10. Cookies

Le Service utilise un nombre limité de cookies strictement nécessaires à son fonctionnement, notamment pour maintenir la session authentifiée de l'utilisateur (cookie de type JWT, marqué httpOnly et SameSite). Ces cookies ne nécessitent pas le consentement préalable de l'utilisateur, conformément aux recommandations de la CNIL.

À ce jour, aucun cookie de mesure d'audience tiers ni de cookie publicitaire n'est déposé. En cas d'évolution sur ce point, la présente politique sera mise à jour et un dispositif de recueil de consentement sera mis en place le cas échéant.

11. Modification de la présente politique

La présente politique de confidentialité peut faire l'objet de modifications pour tenir compte d'évolutions techniques, légales ou de l'évolution des traitements opérés. Toute modification substantielle sera portée à la connaissance des utilisateurs par email et par publication sur la présente page. La date de dernière mise à jour figurant en tête de la présente politique permet à l'utilisateur d'en suivre les évolutions.

12. Contact

Pour toute question relative à la présente politique de confidentialité ou à la protection des données personnelles, l'utilisateur peut contacter l'éditeur à l'adresse suivante : contact@maqh-invoice.fr.

© 2026 MAQH-Invoice · Mentions légales · CGU · Confidentialité