Politique de confidentialité

Dernière mise à jour : Mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

  • MVP SSII (nom commercial : Avenir Numérique)
  • SARL au capital de 50 000 €
  • RCS Orléans — SIREN 529 345 241
  • 27 Rue de la Tuilerie, 45200 Amilly, France

Délégué à la Protection des Données (DPO) : Emmanuel Vaussion
Contact : dpo@neotimo.com

2. Données collectées

2.1. Données d'identification et de compte

  • Nom, prénom du représentant légal ou signataire du mandat
  • Adresse email professionnelle
  • Numéro de téléphone mobile (pour la vérification OTP)
  • Fonction au sein de l'entreprise

2.2. Données d'entreprise

  • Raison sociale, dénomination
  • Numéro SIREN / SIRET
  • Adresse du siège social et des établissements
  • Forme juridique, capital social
  • Identité des dirigeants (source : registre Sirene / Pappers)
  • Numéro de TVA intracommunautaire

2.3. Données de facturation

  • Factures émises et reçues (PDF et données extraites)
  • Coordonnées des destinataires de factures
  • Données extraites : montants, dates, numéros de facture, références
  • Historique des transmissions et accusés de réception

2.4. Données techniques et d'utilisation

  • Adresse IP, type de navigateur, système d'exploitation
  • Données de connexion : date, heure, durée des sessions
  • Pages consultées, actions réalisées sur la Plateforme
  • Identifiant de l'agent Desktop (le cas échéant)
  • Logs d'erreurs et données de diagnostic

2.5. Données collectées via le site institutionnel

  • Formulaire de contact : nom, email, message
  • Formulaire de demande de démo : nom, email, entreprise, téléphone
  • Inscription newsletter (NeoActu) : email
  • Données de navigation via cookies (voir article 8)

3. Finalités et bases légales du traitement

Finalité Base légale
Gestion du compte et de l'espace Tenant Exécution du contrat (CGU)
Fourniture du service de facturation électronique Exécution du contrat
Signature et gestion du mandat de Plateforme Agréée Exécution du contrat / Obligation légale
Extraction IA et traitement des factures Exécution du contrat
Transmission des factures (email, Chorus Pro, etc.) Exécution du contrat / Obligation légale
Archivage des factures (10 ans) Obligation légale (Code de commerce, CGI)
Vérification d'identité par SMS (OTP) Intérêt légitime (sécurité)
Détection de fraude et sécurité (Turnstile) Intérêt légitime (sécurité)
Statistiques et amélioration du service (analytics) Consentement
Communications marketing et newsletter Consentement
Réponse aux demandes de contact et de démo Intérêt légitime
Respect des obligations fiscales et réglementaires Obligation légale

4. Durées de conservation

Catégorie de données Durée de conservation
Données de compte (identification, email) Durée de la relation contractuelle + 3 ans (prescription)
Factures et documents comptables 10 ans à compter de la clôture de l'exercice (art. L.123-22 Code de commerce)
Mandat de Plateforme Agréée Durée du mandat + 10 ans
Données de connexion et logs techniques 1 an (LCEN)
Données de contact (formulaires) 3 ans à compter du dernier contact
Données de prospection (newsletter) 3 ans à compter de la désinscription
Cookies et traceurs 13 mois maximum (recommandation CNIL)

Au terme de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

5. Destinataires et sous-traitants

Vos données peuvent être communiquées aux catégories de destinataires suivantes, dans le strict respect des finalités décrites ci-dessus :

5.1. Sous-traitants techniques

Sous-traitant Finalité Localisation
Auth0 (Okta, Inc.) Authentification et gestion des identités UE (données hébergées en Europe) / États-Unis (société mère)
Brevo (Brevo SAS) Envoi d'emails transactionnels et SMS (OTP) France / UE
Google Analytics (Google LLC) Mesure d'audience et statistiques du site (avec consentement) UE (données hébergées en Europe) / États-Unis (société mère)
Cloudflare (Cloudflare, Inc.) Protection anti-bot (Turnstile), CDN et sécurité réseau Réseau mondial / États-Unis (société mère)

5.2. Autres destinataires

  • Administration fiscale (DGFiP) : transmission des données de facturation dans le cadre de la réforme de la facturation électronique (obligation légale)
  • Chorus Pro (AIFE) : transmission des factures à destination du secteur public
  • Destinataires des factures : les données contenues dans les factures sont transmises aux destinataires désignés par l'Utilisateur

Nous ne vendons jamais vos données personnelles à des tiers.

6. Transferts hors Union européenne

Certains de nos sous-traitants sont des sociétés américaines (Auth0/Okta, Google, Cloudflare). Pour ces transferts, nous nous assurons que des garanties appropriées sont mises en place :

  • EU-US Data Privacy Framework : nos sous-traitants américains sont certifiés au titre du cadre de protection des données UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023)
  • Clauses contractuelles types (CCT) : lorsque le DPF ne s'applique pas, nous utilisons les clauses contractuelles types approuvées par la Commission européenne
  • Hébergement européen : dans la mesure du possible, nous privilégions l'hébergement des données dans des centres de données situés dans l'UE

Vos factures et données de facturation sont hébergées exclusivement en France, sur l'infrastructure certifiée ISO 27001 et HDS de MVP SSII.

7. Sécurité des données

MVP SSII met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, altération, divulgation ou destruction.

Ces mesures incluent notamment :

  • Certification ISO 27001 (Système de management de la sécurité de l'information)
  • Certification HDS (Hébergeur de Données de Santé) délivrée par Bureau Veritas
  • Chiffrement des données en transit (TLS 1.2+) et au repos
  • Authentification multi-facteurs (MFA) disponible pour les comptes utilisateurs
  • Politique de gestion des accès et des habilitations
  • Journalisation et surveillance des accès
  • Procédures de sauvegarde et de reprise d'activité
  • Tests d'intrusion et audits de sécurité réguliers

8. Cookies et traceurs

8.1. Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site et ne peuvent pas être désactivés. Ils concernent la gestion de votre session, vos préférences de consentement et la sécurité.

8.2. Cookies analytiques

Nous utilisons Google Analytics (GA4) pour mesurer l'audience du site et comprendre comment les visiteurs interagissent avec nos pages. Ces cookies ne sont déposés qu'après l'obtention de votre consentement.

Données collectées : pages vues, durée des sessions, source du trafic, type d'appareil.

8.3. Cookies de sécurité

Cloudflare Turnstile peut déposer un cookie pour vérifier que vous êtes un utilisateur légitime lors du processus d'inscription. Ce traitement relève de l'intérêt légitime (protection contre les bots).

8.4. Gestion de vos préférences

Vous pouvez à tout moment modifier vos préférences en matière de cookies via le lien Gestion des cookies présent en pied de page.

Conformément à la recommandation de la CNIL, les cookies ont une durée de vie maximale de 13 mois.

9. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie
  • Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation
  • Droit à la limitation (art. 18 RGPD) : demander la suspension du traitement de vos données dans certains cas
  • Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données pour des motifs légitimes
  • Droit de retirer votre consentement à tout moment pour les traitements fondés sur le consentement (analytics, marketing)
  • Droit de définir des directives relatives au sort de vos données après votre décès

9.1. Comment exercer vos droits

Vous pouvez exercer vos droits en nous contactant :

  • Par email : dpo@neotimo.com
  • Par courrier : MVP SSII — DPO, 27 Rue de la Tuilerie, 45200 Amilly

Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas vous en serez informé.

Nous pourrons vous demander une pièce d'identité afin de vérifier votre identité avant de traiter votre demande.

9.2. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • CNIL
  • 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Site web : www.cnil.fr

10. Utilisation des API Google

Si vous connectez votre compte Google à Neotimo (envoi de factures via Gmail), l'utilisation et le transfert des informations reçues des API Google sont soumis à la Google API Services User Data Policy, y compris les exigences d'utilisation limitée.

Pour plus de détails, consultez notre page dédiée : Google API Disclosure.

11. Modification de la politique

Nous pouvons mettre à jour cette politique de confidentialité à tout moment pour refléter les évolutions de nos pratiques ou de la réglementation. En cas de modification substantielle, nous vous en informerons par email ou notification avant l'entrée en vigueur des changements.

La date de dernière mise à jour est indiquée en haut de cette page.

12. Contact

Pour toute question concernant cette politique de confidentialité ou vos données personnelles :