Politique de confidentialité
Dernière mise à jour : 8 mai 2026
1. Responsable de traitement
Le responsable de traitement des données personnelles collectées sur Asthia est Adrien Rabillat, dont le siège social est situé :
17 rue Victor Méric
92110 Clichy, France
Pour toute question relative au traitement de vos données, vous pouvez nous contacter à : contact@asthia.fr.
2. Données collectées
2.1. Données de compte
Lorsque vous créez un compte sur Asthia via Google OAuth, nous collectons :
- votre nom et prénom (tels que retournés par Google) ;
- votre adresse email Google ;
- un jeton de rafraîchissement (refresh token) Google nécessaire pour envoyer des emails en votre nom via Gmail (scope
gmail.send). Ce jeton est chiffré au repos par notre prestataire Supabase et n'est jamais envoyé à votre navigateur.
2.2. Données professionnelles d'auto-entrepreneur
Pour générer des factures conformes à la réglementation française, nous collectons les informations que vous saisissez dans votre profil :
- nom commercial, métier, SIREN/SIRET, code APE/NAF ;
- adresse postale du siège ;
- téléphone, site web ;
- RIB (IBAN, BIC) — utilisé uniquement pour l'affichage sur les factures, jamais pour des prélèvements ;
- numéros RCS / Répertoire des Métiers le cas échéant ;
- nom de votre assureur responsabilité civile professionnelle ;
- nom et URL de votre médiateur de la consommation (BtoC).
2.3. Données métier
Vous saisissez et stockez via Asthia :
- vos clients (nom, email, SIREN, adresse) ;
- vos factures et avoirs (numéro, montant, description, statut) ;
- vos devis ;
- l'historique de vos déclarations URSSAF ;
- les données importées depuis un autre logiciel (factures historiques, CA déjà encaissé).
3. Finalités et bases légales
Les données sont traitées exclusivement pour les finalités suivantes :
- Fourniture du service — création de factures, envoi de mails au nom de l'utilisateur, génération de PDF Factur-X. Base légale : exécution du contrat (art. 6.1.b RGPD).
- Pré-saisie et automatisation des déclarations URSSAF — calcul mensuel/trimestriel du CA encaissé, soumission automatisée à l'API URSSAF auto-entrepreneur. Base légale : exécution du contrat.
- Sécurité et lutte contre la fraude — journalisation des connexions, détection d'anomalies. Base légale : intérêt légitime (art. 6.1.f RGPD).
- Communication avec l'utilisateur — emails de service (réinitialisation, notifications de déclaration). Base légale : exécution du contrat.
Aucune donnée n'est utilisée à des fins publicitaires ni revendue à des tiers.
4. Durée de conservation
Les données sont conservées pendant la durée nécessaire aux finalités ci-dessus, dans les limites suivantes :
- Pièces comptables (factures, avoirs) : 10 ans à compter de leur émission (art. L.123-22 du Code de commerce). Cette durée s'impose même après suppression du compte.
- Données de compte et profil : pendant toute la durée de l'utilisation du Service, et jusqu'à 1 an après la dernière connexion.
- Refresh token Gmail : tant que la connexion Google n'est pas révoquée par l'utilisateur. Vous pouvez révoquer l'accès à tout moment depuis votre compte Google.
- Logs techniques : 12 mois maximum.
5. Sous-traitants
Pour fournir le Service, nous nous appuyons sur les sous-traitants suivants, qui agissent uniquement sur instruction de Adrien Rabillat :
- Supabase Inc. (https://supabase.com) — base de données PostgreSQL, authentification, stockage des PDF de factures. Données hébergées dans l'Union Européenne.
- Google LLC — authentification OAuth et envoi d'emails via Gmail au nom de l'utilisateur. Voir la politique de confidentialité Google.
- Vercel Inc. — hébergement de l'application web (frontend Next.js). Voir leurs politiques RGPD pour plus de détails.
Adrien Rabillat a signé avec ses sous-traitants des accords conformes à l'article 28 RGPD. Les transferts de données hors UE éventuels sont encadrés par les Clauses Contractuelles Types approuvées par la Commission européenne.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie des données que nous détenons à votre sujet.
- Droit de rectification : corriger les données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation des pièces comptables (10 ans).
- Droit à la portabilité : récupérer vos données dans un format structuré et lisible. Vous pouvez utiliser la fonction d'export Excel directement dans l'application.
- Droit d'opposition à un traitement reposant sur l'intérêt légitime.
- Droit de limitation du traitement.
- Droit de définir des directives post mortemrelatives à vos données.
Pour exercer ces droits, écrivez à contact@asthia.fr en précisant votre demande. Nous vous répondrons dans un délai d'un mois.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
7. Sécurité
Adrien Rabillat met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la perte, l'altération ou la divulgation :
- chiffrement des données en transit (TLS 1.2+) ;
- chiffrement au repos par Supabase Inc. ;
- cloisonnement des données par utilisateur via des politiques de sécurité au niveau ligne (Row Level Security) PostgreSQL ;
- authentification par Google OAuth ou par code à usage unique envoyé par email — aucun mot de passe n'est stocké côté Asthia ;
- audits réguliers du code source.
9. Modifications de la présente politique
La présente politique peut être mise à jour pour refléter l'évolution du Service ou des obligations légales. Les utilisateurs seront notifiés par email en cas de modification substantielle. La date de dernière mise à jour figure en haut de cette page.
10. Contact
Pour toute question relative à vos données personnelles ou à la présente politique, contactez-nous à contact@asthia.fr ou contact@asthia.fr.