Politique de confidentialité
Dernière mise à jour : 8 juin 2026
La présente politique décrit la manière dont ArchiFlow (Surack) collecte, utilise et protège les données à caractère personnel des utilisateurs du service, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable du traitement
Le responsable du traitement est l'éditeur du service, Surack. Pour toute question relative à vos données, vous pouvez le contacter à l'adresse surackart@gmail.com.
2. Données que nous collectons
2.1 Données de compte
Lors de la création et de l'utilisation de votre compte : nom, prénom, adresse e-mail, mot de passe (stocké uniquement sous forme chiffrée / haché), nom de l'entreprise, et préférences d'affichage.
2.2 Données métier que vous saisissez
Les informations que vous renseignez pour utiliser le service : coordonnées de vos clients, projets et chantiers, devis, factures, honoraires, dépenses, frais kilométriques, données de trésorerie et documents associés. Vous êtes responsable du traitement de ces données vis-à-vis de vos propres clients ; ArchiFlow agit à leur égard en qualité de sous-traitant (voir §7).
2.3 Documents importés pour analyse
Lorsque vous utilisez les fonctions d'assistance par intelligence artificielle (analyse de CCTP, lecture automatique de justificatifs de dépenses ou de notes de frais), les documents concernés sont transmis pour traitement à notre sous-traitant Anthropic (voir §7) le temps de l'analyse.
2.4 Données de paiement
Les paiements d'abonnement sont traités par Stripe. ArchiFlow ne stocke jamais vos numéros de carte bancaire ; ceux-ci sont collectés et conservés directement par Stripe selon ses propres garanties de sécurité (norme PCI-DSS).
2.5 Données techniques
Pour la sécurité et le bon fonctionnement du service : journaux de connexion, adresse IP, horodatage, et données de session. Aucune donnée de navigation n'est exploitée à des fins publicitaires.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion de votre compte, fourniture du service | Exécution du contrat (art. 6.1.b) |
| Facturation et gestion des abonnements | Exécution du contrat / obligation légale (art. 6.1.b et 6.1.c) |
| Conservation des pièces comptables (factures émises) | Obligation légale (art. 6.1.c) |
| Assistance par IA (analyse de documents) | Exécution du contrat, à votre demande (art. 6.1.b) |
| Sécurité, prévention de la fraude, journalisation | Intérêt légitime (art. 6.1.f) |
| Réponse à vos demandes de support | Intérêt légitime (art. 6.1.f) |
4. Durées de conservation
- Données de compte : pendant toute la durée de votre abonnement, puis supprimées dans un délai de 3 mois après la clôture du compte (hors obligations légales).
- Données métier que vous saisissez : conservées tant que votre compte est actif ; vous pouvez les exporter ou les supprimer à tout moment.
- Documents transmis pour analyse IA : traités le temps de l'analyse ; ils ne sont pas utilisés pour entraîner des modèles d'IA (voir §7).
- Pièces comptables (factures) : conservées 10 ans conformément aux obligations légales françaises.
- Journaux techniques : jusqu'à 12 mois.
5. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : mots de passe hachés, chiffrement des communications (HTTPS/TLS), protection contre la falsification de requêtes (CSRF), verrouillage du compte après plusieurs échecs de connexion, hébergement au sein de l'Union européenne et cloisonnement des données entre comptes.
6. Destinataires
Vos données sont accessibles uniquement à l'éditeur, dans la stricte mesure nécessaire à l'exploitation du service, et à ses sous-traitants listés ci-dessous. Elles ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales.
7. Sous-traitants et transferts hors UE
Nous faisons appel aux sous-traitants suivants, chacun encadré par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVHcloud (OVH SAS) https://www.ovhcloud.com |
Hébergement des serveurs et de la base de données | France (UE) |
| Anthropic PBC https://www.anthropic.com |
Analyse IA des documents (CCTP) et des justificatifs (OCR factures/notes de frais) | États-Unis |
| Stripe https://stripe.com |
Traitement des paiements et de la facturation des abonnements | États-Unis / Irlande (UE) |
Certains de ces sous-traitants (Anthropic, Stripe) sont susceptibles de traiter des données aux États-Unis. Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne et/ou adhésion au cadre de protection des données UE – États-Unis). Concernant l'analyse par IA, les documents transmis à Anthropic ne sont pas utilisés pour l'entraînement de ses modèles dans le cadre de l'usage professionnel via API.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- droit d'accès et de rectification ;
- droit à l'effacement (« droit à l'oubli ») ;
- droit à la limitation et à l'opposition au traitement ;
- droit à la portabilité de vos données ;
- droit de définir des directives relatives au sort de vos données après votre décès.
Vous pouvez exercer ces droits, ou retirer votre consentement lorsque le traitement s'y prête, en écrivant à surackart@gmail.com. Une réponse vous sera apportée dans un délai d'un mois.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : www.cnil.fr.
9. Cookies et stockage local
ArchiFlow n'utilise aucun cookie publicitaire ni traceur tiers. Seuls sont utilisés :
- un cookie de session strictement nécessaire à votre authentification ;
- le stockage local de votre navigateur pour mémoriser vos préférences d'affichage (thème clair/sombre, design).
Ces éléments étant indispensables au fonctionnement du service ou relevant de vos préférences, ils ne nécessitent pas de bannière de consentement publicitaire.
10. Modification de la présente politique
Cette politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en haut de cette page.
11. Contact
Pour toute question relative à cette politique ou à vos données : surackart@gmail.com.