FluxMicro
Politique de confidentialité
Identifiant: privacy-policy · Date d'effet: 07 mars 2026 · Version 2026.03.07
1. Responsable de traitement
Pour les traitements liés à la gestion du site, des comptes, de l'authentification, de la sécurité, de la relation contractuelle et de la facturation de l'abonnement, le responsable de traitement est CIVXII, Société par actions simplifiée (Société à associé unique), domicilié au 99 avenue Achille Peretti, 92200 Neuilly-sur-Seine, France, joignable à support@fluxmicro.fr.
2. Rôle de FluxMicro selon les traitements
FluxMicro agit comme responsable de traitement pour les données nécessaires à l'ouverture et à l'administration du compte, à l'authentification, à la sécurité, à la prévention de la fraude, à la gestion de l'abonnement, à la preuve contractuelle et au support.
Pour les données métier confiées par le Client dans le cadre de son activité professionnelle (clients finaux, devis, factures, avoirs, encaissements, documents et journaux associés), FluxMicro agit, selon le cas et dans la mesure applicable, comme sous-traitant du Client.
Les engagements complémentaires applicables à ces traitements sont détaillés dans l'annexe de sous-traitance (article 28 RGPD).
La présente politique décrit les traitements pour lesquels FluxMicro détermine ses propres finalités et donne une vue d'ensemble du cadre de traitement du service. Elle ne remplace pas l'annexe de sous-traitance, qui demeure le document contractuel de référence pour les données métier traitées pour le compte du Client.
3. Catégories de données traitées
| Catégorie | Exemples | Source |
|---|---|---|
| Compte utilisateur | Email, mot de passe haché, rôles d'accès, sessions | Inscription et utilisation de l'application |
| Organisation | Raison sociale, SIREN/SIRET, adresse, TVA, IBAN, paramètres légaux | Onboarding et réglages |
| Données métier | Clients, catalogue, devis, factures, avoirs, encaissements, historiques | Actions de l'utilisateur |
| Paiement abonnement | Identifiants client de paiement, statut d'abonnement, échéances, factures SaaS | Prestataire de paiement |
| Sécurité et logs | Journaux techniques, traces de connexions, logs d'audit | Systèmes internes |
4. Finalités et bases légales
| Finalité | Base légale | Données concernées |
|---|---|---|
| Gestion du compte et authentification | Exécution du contrat | Compte utilisateur, sessions |
| Fourniture du service SaaS | Exécution du contrat | Données organisationnelles et métier |
| Facturation et paiements abonnement | Exécution du contrat / obligations légales | Données de facturation, statuts d'abonnement |
| Sécurité, prévention de la fraude, audit | Intérêt légitime (sécurisation des accès, prévention des usages frauduleux, continuité du service, traçabilité technique et preuve en cas de litige) | Logs techniques, événements d'audit |
| Respect des obligations légales et réglementaires | Obligation légale | Pièces comptables et traces associées |
5. Caractère obligatoire ou facultatif des données
Les données strictement nécessaires à l'ouverture du compte, à l'authentification, à la gestion de l'abonnement et à l'utilisation du service sont obligatoires. Leur absence empêche la création du compte, l'accès au service ou l'exécution correcte du contrat.
Les données facultatives sont signalées comme telles dans les formulaires concernés. Leur absence n'empêche pas l'utilisation du service, mais peut limiter certaines options de personnalisation, de support ou d'assistance.
6. Décisions automatisées et profilage
FluxMicro n'effectue pas, à ce jour, de prise de décision entièrement automatisée produisant des effets juridiques ou affectant de manière significative les personnes au sens du RGPD.
Certains traitements internes peuvent utiliser des règles techniques d'assistance (par exemple pour la sécurité, la détection d'anomalies ou la priorisation de contrôles), sans qu'une décision opposable à la personne concernée soit prise automatiquement sans intervention humaine.
7. Destinataires et accès interne
Les données sont accessibles uniquement aux personnes habilitées (équipes techniques, support et administration) dans la limite stricte de leurs attributions. Les prestataires externes interviennent en qualité de sous-traitants contractuellement encadrés.
Lorsque le Client active une fonctionnalité de préparation déclarative ou, le cas échéant, de transmission en mode tiers déclarant, les données strictement nécessaires à cette finalité peuvent également être communiquées à l'URSSAF et, si l'architecture technique le requiert, à l'intermédiaire habilité chargé d'acheminer ou de sécuriser les échanges, sur instruction du Client et dans la limite de la finalité déclarée.
8. Sous-traitants principaux
| Prestataire | Finalité | Localisation | Transfert hors UE |
|---|---|---|---|
Stripe, Inc. Politique de confidentialité | Paiement des abonnements, facturation et gestion des moyens de paiement. Identité de facturation, coordonnées de paiement, historique des transactions. | Union européenne / États-Unis | Oui, avec garanties appropriées Clauses contractuelles types et mécanismes de conformité applicables. |
OVH SAS Politique de confidentialité | Hébergement de l'application, des bases de données et des fichiers. Données de compte, données organisationnelles, documents métier, journaux techniques. | France / Union européenne | Non Infrastructure opérée dans un cadre contractuel, mesures de sécurité physiques et logiques, contrôle d'accès, traçabilité et sauvegardes adaptées. |
OVH SAS Politique de confidentialité | Envoi d'emails transactionnels et de notifications de service. Email, nom, contenu des notifications, traces d'envoi. | France / Union européenne | Non Service d'email transactionnel contractuellement encadré, authentification des accès, chiffrement des échanges et journalisation adaptée. |
Super PDP Politique de confidentialité | Transmission des factures électroniques, suivi des statuts de traitement et, le cas échéant, réception des flux de facturation entrants. Données d'identification de l'émetteur et du client, données de facture, pièces jointes associées et statuts de transmission. | France / Union européenne | Non Transmission encadrée contractuellement, authentification forte, traçabilité des échanges et mesures techniques de sécurité adaptées. |
INSEE - API SIRENE Politique de confidentialité | Préremplissage des informations d'entreprise lors de l'onboarding. SIREN/SIRET saisi, données d'identification d'entreprise. | France | Non Utilisation limitée à la finalité de préremplissage déclarée. |
9. Transferts hors Union européenne
Lorsque certains prestataires traitent des données hors Union européenne, les transferts sont encadrés par des garanties appropriées (notamment clauses contractuelles types et mesures complémentaires), selon les exigences du RGPD.
10. Durées de conservation
- Données de compte et données contractuelles: pendant la relation contractuelle, puis archivage intermédiaire limité à cinq (5) ans à compter de la fin de la relation, pour la gestion des réclamations, du recouvrement, de la preuve contractuelle et du respect des obligations légales.
- Données métier et documents générés pour le compte du client (devis, factures, avoirs, journaux, pièces associées): conservés pendant la durée d'utilisation du service. Le client demeure seul responsable de l'archivage légal de ses documents comptables, fiscaux et justificatifs pendant les durées applicables, notamment dix (10) ans pour les documents comptables et pièces justificatives et six (6) ans pour les documents fiscaux lorsqu'ils relèvent de cette obligation.
- Données strictement nécessaires à la préparation déclarative URSSAF et, le cas échéant, à la transmission en mode tiers déclarant (historique déclaratif, journaux, statuts et traces de transmission): conservées pendant une durée n'excédant pas trente-six (36) mois à compter de la période déclarative concernée, sauf obligation légale particulière, contentieux, demande de l'autorité compétente ou nécessité probatoire imposant une conservation plus longue.
- Logs techniques et sécurité: conservés sur une période glissante n'excédant pas douze (12) mois, sauf obligation légale particulière, incident de sécurité documenté ou nécessité probatoire imposant une conservation plus longue.
- Données prospects et échanges précontractuels: conservés pendant trois (3) ans à compter du dernier contact utile émanant de la personne concernée ou, à défaut, de la collecte.
11. Mesures de sécurité
- Chiffrement des échanges réseau (HTTPS/TLS).
- Authentification et gestion de sessions sécurisées.
- Contrôle d'accès selon les rôles et journalisation des actions sensibles.
- Mesures de sauvegarde, surveillance et gestion des incidents de sécurité.
Aucune mesure ne garantissant un risque nul, l'utilisateur demeure responsable de la sécurité de ses identifiants et postes de travail.
12. Droits des personnes
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, dans les conditions prévues par la réglementation.
Pour exercer vos droits, contactez support@fluxmicro.fr. Une vérification d'identité peut être demandée en cas de doute raisonnable.
Lorsque FluxMicro agit comme sous-traitant pour le compte du Client, certaines demandes portant sur les données métier peuvent être redirigées vers le Client, en sa qualité de responsable de traitement, si cela est nécessaire pour garantir un traitement exact de la demande.
13. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL: www.cnil.fr.
14. Cookies et traceurs
À ce stade, le service utilise uniquement des traceurs techniques strictement nécessaires au fonctionnement, notamment un cookie de session pour l'authentification et, le cas échéant, un stockage local du navigateur pour mémoriser certains états d'interface strictement fonctionnels.
Aucun traceur d'audience, publicitaire ou de personnalisation non essentiel n'est activé à ce jour. Si de tels traceurs sont ajoutés ultérieurement, la présente politique et les mécanismes de recueil du consentement seront mis à jour avant leur activation en production.
15. Mise à jour de la politique
Cette politique peut évoluer pour refléter les changements techniques, contractuels ou réglementaires. La date d'effet et la version en vigueur sont indiquées en tête de document.
Hébergement actuel déclaré: OVH SAS, 2 rue Kellermann, 59100 Roubaix, France.