← Retour

Politique de confidentialité

Dernière mise à jour : 10 mai 2026

Zenapta (éditée par JSJ Services, ci-après « nous ») respecte la confidentialité de ses utilisateurs (ci-après « vous »). Cette politique explique quelles données nous collectons, pourquoi, combien de temps, et vos droits.

1. Responsable de traitement

JSJ Services, micro-entreprise immatriculée en France, dont le siège est à Bordeaux.
Contact : [email protected]

2. Données collectées et finalités

Donnée	Finalité	Base légale (RGPD)
Email	Authentification, communication (factures, rappels)	Contrat
Mot de passe (haché argon2id)	Authentification sécurisée	Contrat
Nom de structure, type (indép/asso)	Personnalisation du plan comptable	Contrat
Adresse IP, user-agent	Sécurité (rate limit, détection anomalies)	Intérêt légitime
Écritures comptables, factures uploadées	Service principal (comptabilité)	Contrat
Identifiant client Stripe (cus_xxxx)	Gestion paiement	Contrat
Logs d'accès (1 ligne par requête, 30j)	Diagnostic, sécurité	Intérêt légitime
Cookies analytics anonymisés (Google Analytics)	Mesure d'audience	Consentement implicite (à durcir)

3. Durée de conservation

• Compte actif : pendant toute la durée de votre utilisation du service.
• Compte inactif ou résilié : données conservées 30 jours après suppression, puis effacement définitif. Vous pouvez exporter vos données à tout moment avant.
• Logs techniques : 30 jours.
• Factures Stripe : 10 ans (obligation comptable).
• Audit log admin : 5 ans (traçabilité).

4. Sous-traitants (transferts de données)

• Hetzner (Allemagne, UE) — hébergement serveur. Données stockées chiffrées au repos.
• Stripe (Irlande, UE) — paiement. Nous ne stockons aucune donnée bancaire ; Stripe est PCI-DSS niveau 1.
• Anthropic / Claude (USA) — IA pour catégorisation des écritures et OCR des factures. Données envoyées à la demande, non conservées par Anthropic (no-retention activé). Transfert hors UE encadré par les clauses contractuelles types européennes.
• Cloudflare (USA, plan gratuit) — CDN et protection DDoS. Métadonnées de connexion (IP, headers).
• Google Analytics (USA) — mesure d'audience anonymisée.
• SMTP IONOS (Allemagne, UE) — envoi des emails transactionnels.

5. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès : obtenir une copie de toutes vos données.
• Rectification : corriger des informations inexactes.
• Effacement : supprimer votre compte et vos données (sauf obligations légales comptables).
• Portabilité : export complet de vos données au format JSON / FEC à tout moment depuis "Mon profil → Mes données".
• Limitation : suspendre temporairement le traitement.
• Opposition : refuser l'utilisation de vos données à certaines fins (analytics).
• Décisions automatisées (Art. 22) : vous pouvez demander une révision humaine de toute catégorisation ou analyse effectuée par notre IA — voir section dédiée ci-dessous.
• Réclamation : déposer une plainte auprès de la CNIL si vous estimez vos droits non respectés.

Pour exercer ces droits : [email protected]. Nous répondons sous 30 jours.

Suppression directe : vous pouvez supprimer votre compte vous-même via "Mon profil" → "Supprimer mon compte". L'effacement est immédiat et irréversible (sauf factures légalement obligatoires : conservation 10 ans).

5bis. Décisions automatisées et profilage (Art. 22 RGPD)

Zenapta utilise l'IA Claude (Anthropic) pour vous aider à catégoriser vos opérations bancaires et extraire les données de vos factures fournisseurs. Précisions :

• Pas de décision juridique automatisée : les suggestions de l'IA sont des aides à la décision. Vous validez chaque écriture avant export Sage/FEC.
• Intervention humaine garantie : à toute étape, vous pouvez modifier ou rejeter la suggestion de l'IA. Aucune écriture n'est exportée sans votre validation.
• Droit de contester : si une suggestion vous paraît injustifiée ou inappropriée, contactez-nous — nous analyserons et ajusterons.
• Données envoyées à l'IA : libellés d'opérations + montants pour la catégorisation, contenu PDF pour l'extraction de factures. Pas de stockage côté Anthropic (option "no-retention" activée).

6. Sécurité

Mesures techniques en place :

• Connexion HTTPS obligatoire (TLS 1.3, HSTS, certificats Let's Encrypt).
• Mots de passe hachés avec argon2id (jamais stockés en clair).
• JWT à durée courte (1h admin, 7j user) + révocation à la demande.
• Double authentification (2FA) optionnelle via Google Authenticator.
• Rate limiting anti-bruteforce sur le login.
• Backups automatiques quotidiens des bases chiffrés AES-256 (30 jours de rétention en local, 90 jours sur volume externe Hetzner).
• Logs serveur masquent les adresses email (j***@g***.com) pour limiter l'exposition PII.
• Uploads de fichiers : validation extension, anti-path-traversal, taille max 50 MB.
• Audit log de toutes les actions administrateur.

En cas de violation de données affectant vos informations, nous nous engageons à notifier la CNIL sous 72 heures (Art. 33 RGPD) et à vous informer si le risque est élevé (Art. 34). Procédure documentée dans notre registre interne, disponible sur demande à [email protected].

7. Cookies

Zenapta utilise :

• Token de session (localStorage, JWT) : nécessaire à la connexion. Non opt-out.
• Google Analytics (cookie _ga, _gid) : mesure d'audience anonymisée (anonymize_ip activé). Désactivé par défaut tant que vous n'avez pas accepté la bannière. Consentement révocable à tout moment via le bouton ci-dessous.

Pas de cookies publicitaires ni de tracking tiers à des fins marketing.

Modifier mes préférences cookies

7bis. Emails — transactionnels vs marketing

Zenapta vous envoie deux types d'emails :

• Transactionnels (non opt-out) : bienvenue, rappels trial, renouvellement licence, confirmations paiement, alertes sécurité. Base légale : exécution du contrat (Art. 6.1.b RGPD). Vous ne pouvez pas vous désabonner de ces emails sans clôturer votre compte.
• Marketing / actualités produit (opt-out) : nouveautés Zenapta, conseils compta, retours d'expérience. Base légale : consentement explicite à l'inscription. Chaque email contient un lien "se désabonner" qui retire immédiatement votre email de la liste.

Pour modifier vos préférences ou vous opposer à un traitement marketing, contactez [email protected]. À ce stade (early access), Zenapta n'envoie pas encore d'emails marketing automatisés.

7ter. Pour nos clients B2B — votre rôle de responsable de traitement

Si vous utilisez Zenapta pour gérer la comptabilité d'une activité incluant les données d'autres personnes (vos clients, fournisseurs, salariés, adhérents), vous êtes vous-même responsable de traitement à leur égard, et Zenapta est votre sous-traitant au sens de l'article 28 RGPD.

Un contrat de sous-traitance (DPA) encadre cette relation. La version actuelle est disponible sur demande à [email protected] — vous devez en avoir une copie pour démontrer votre conformité en cas de contrôle CNIL.

8. Modifications

Nous pouvons mettre à jour cette politique. La date "Dernière mise à jour" en haut reflète la version en cours. Tout changement substantiel sera notifié par email.