XRechnungs

Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) est :

Aucun délégué à la protection des données n'a été désigné, car aucune obligation légale n'existe.

Nous traitons les données à caractère personnel exclusivement conformément au RGPD et aux dispositions nationales applicables en matière de protection des données (notamment la BDSG).

Le traitement a lieu pour :

• la mise à disposition de nos services SaaS
• l'exécution du contrat
• le maintien de la sécurité informatique
• l'amélioration de notre offre

3.1 Données d'inscription et de compte

• Nom
• Adresse e-mail
• Mot de passe (stocké sous forme hachée)
• Données d'entreprise (par ex. nom de l'entreprise, adresse, numéro de TVA)

Finalité : gestion du compte et utilisation de l'application

Base juridique : art. 6, par. 1, let. b RGPD

3.2 Données de facturation et commerciales

• noms et adresses des clients, fournisseurs et partenaires commerciaux
• adresses e-mail et numéros de téléphone
• numéros de TVA intracommunautaire
• données de facturation et de paiement (montants, coordonnées bancaires, statut de paiement)
• descriptions des prestations et numéros de facture
• données des employés (dans la mesure où elles figurent sur des factures ou des documents)

Finalité : création, validation et mise à disposition de factures électroniques (XRechnung, ZUGFeRD)

Base juridique :

• art. 6, par. 1, let. b RGPD (exécution du contrat vis-à-vis de l'utilisateur)
• art. 6, par. 1, let. f RGPD (intérêt légitime à fournir la plateforme SaaS)

3.3 Données techniques d'utilisation

• Adresse IP
• date et heure de l'accès
• informations sur le navigateur et l'appareil
• horodatage des connexions et journaux d'activité
• fichiers journaux

Finalité : sécurité du fonctionnement, analyse des erreurs, détection des abus

Base juridique : art. 6, par. 1, let. f RGPD (intérêt légitime)

Le traitement des données à caractère personnel s'effectue en principe sur des serveurs situés dans l'Union européenne (UE) ou l'Espace économique européen (EEE). Pour la fourniture technique, nous faisons appel aux sous-traitants suivants conformément à l'art. 28 RGPD :

Des accords écrits de sous-traitance existent avec tous les prestataires. Lorsque les fournisseurs sont établis hors de l'UE / de l'EEE, le transfert de données s'effectue exclusivement sur la base de garanties appropriées conformément à l'art. 46 RGPD, notamment les clauses contractuelles types de l'UE (CCS).

Lors de l'utilisation de la fonction de conversion PDF vers XRechnung / ZUGFeRD, les documents de facturation téléversés (PDF ou fichiers image) sont transmis à l'API de OpenAI, Inc., États-Unis pour l'extraction automatique des données de facturation.

Des données à caractère personnel contenues dans le document peuvent être transmises (par ex. noms, adresses, numéro de TVA, données de paiement).

OpenAI n'utilise pas les entrées API pour améliorer ou entraîner ses modèles. Selon OpenAI, les données sont supprimées au plus tard après 30 jours.

Le transfert vers les États-Unis repose sur les clauses contractuelles types de l'UE (CCS) conformément à l'art. 46 RGPD.

Base juridique : art. 6, par. 1, let. b RGPD (exécution du contrat).

Plus d'informations : openai.com/policies/privacy-policy

Pour la validation technique des documents de facturation (XRechnung, ZUGFeRD), nous utilisons le validateur KoSIT et le validateur Mustang. La validation s'effectue côté serveur. Les données contenues dans les documents de facturation sont vérifiées techniquement.

Base juridique : art. 6, par. 1, let. b RGPD (exécution du contrat).

Pour gérer les abonnements et les paiements, nous utilisons Stripe Payments Europe Ltd., Irlande.

Les données de paiement (par ex. nom, adresse de facturation, informations de paiement) sont traitées directement par Stripe. XRechnungs ne stocke pas les données de paiement complètes.

Base juridique : art. 6, par. 1, let. b RGPD.

Plus d'informations : stripe.com/de/privacy

Si vous avez donné votre consentement, nous utilisons Google Analytics, un service d'analyse web de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande.

Google Analytics utilise des cookies qui permettent d'analyser l'utilisation de notre site web. Nous avons activé l'anonymisation de l'IP, de sorte que votre adresse IP est raccourcie au sein de l'UE.

Base juridique : art. 6, par. 1, let. a RGPD ainsi que § 25, par. 1 TTDSG (consentement).

Un transfert de données vers les serveurs de Google aux États-Unis ne peut être exclu. Il s'effectue sur la base des CCS conformément à l'art. 46 RGPD. Vous pouvez révoquer votre consentement à tout moment via les paramètres des cookies.

Plus d'informations : policies.google.com/privacy

Nous utilisons :

• des cookies techniquement nécessaires (connexion, session, sécurité)
• des cookies d'analyse ou statistiques (uniquement avec consentement)

Cookies techniquement nécessaires : § 25, par. 2 TTDSG ; art. 6, par. 1, let. f RGPD (intérêt légitime)

Cookies d'analyse/statistiques : § 25, par. 1 TTDSG ; art. 6, par. 1, let. a RGPD (consentement)

Les données à caractère personnel ne sont conservées que le temps nécessaire à l'exécution du contrat ou tant que des obligations légales de conservation existent.

Les données de facturation et de compte restent stockées tant qu'un compte actif existe.

Suppression des données après résiliation

Après la résiliation du compte utilisateur ou la fin du contrat d'utilisation, nous mettons à votre disposition vos documents et données enregistrés pendant une période de 30 jours calendaires pour téléchargement.

• Nous vous informons au plus tard 7 jours avant l'expiration de ce délai par e-mail de la suppression à venir des données.
• À l'issue du délai de 30 jours, toutes les données et tous les documents stockés sont supprimés irrévocablement. La restauration n'est techniquement pas possible.
• La suppression est consignée en interne.

Veuillez noter : XRechnungs conserve vos documents pendant la durée d'utilisation active du compte. En tant qu'utilisateur, vous êtes seul responsable du respect de vos obligations de conservation fiscales et commerciales (§§ 147 AO, 257 HGB). Nous vous recommandons de réaliser régulièrement vos propres sauvegardes en dehors de la plateforme.

Dans la mesure où des obligations légales de conservation de notre côté s'opposent à une suppression immédiate, les données concernées sont conservées jusqu'à l'expiration de cette obligation puis supprimées sans délai.

Dans le cadre de l'utilisation de XRechnungs, nous traitons des données à caractère personnel pour le compte de nos clients (art. 28 RGPD). L'accord de sous-traitance (AVV) correspondant fait partie intégrante du contrat d'utilisation.

En vous inscrivant et en utilisant la plateforme, vous acceptez électroniquement l'AVV. L'AVV (XRechnungs - accord de sous-traitance (AVV)) est accessible après l'inscription dans l'espace utilisateur de la plateforme.

L'AVV régit notamment la nature, l'étendue et la finalité du traitement, les sous-traitants ultérieurs utilisés ainsi que les mesures techniques et organisationnelles (TOM) conformément à l'art. 32 RGPD.

Vous disposez des droits suivants :

• droit d'accès (art. 15 RGPD)
• droit de rectification (art. 16 RGPD)
• droit à l'effacement (art. 17 RGPD)
• droit à la limitation du traitement (art. 18 RGPD)
• droit à la portabilité des données (art. 20 RGPD)
• droit d'opposition au traitement (art. 21 RGPD)
• droit de retirer un consentement donné (art. 7, par. 3 RGPD)

Pour exercer vos droits, veuillez vous adresser à : info@xrechnungs.de

Vous avez le droit de déposer une plainte auprès de l'autorité de contrôle compétente en matière de protection des données :

Le délégué régional à la protection des données et à la liberté d'information du Bade-Wurtemberg

www.baden-wuerttemberg.datenschutz.de

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées conformément à l'art. 32 RGPD, notamment :

• chiffrement TLS/HTTPS de tous les transferts de données
• authentification à deux facteurs (2FA) pour les accès au système
• contrôle d'accès basé sur les rôles
• séparation logique des données des utilisateurs par locataire
• sauvegardes chiffrées des données
• surveillance et journalisation des événements liés à la sécurité
• mises à jour de sécurité régulières

La description complète de nos mesures techniques et organisationnelles (TOM) est disponible dans l'annexe 3 de l'AVV.

Malgré toutes les mesures techniques et organisationnelles, une protection absolue des données contre les accès de tiers ne peut pas être totalement garantie.

Aucune prise de décision automatisée, y compris le profilage, n'a lieu conformément à l'art. 22 RGPD.

Cette politique de confidentialité peut être adaptée si nécessaire. La version en vigueur est toujours disponible sur cette page. En cas de modifications importantes, nous vous informerons par e-mail.